Défense contre les menaces persistantes avancées : stratégies face à une nouvelle forme d attaques. agility made possible



Documents pareils
menaces persistantes avancées : se défendre de l intérieur

étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible

Comment assurer la gestion des identités et des accès sous forme d un service Cloud?

FICHE DE PRÉSENTATION DE LA SOLUTION

agility made possible

agility made possible

CA Automation Suite for Data Centers

Comment optimiser l utilisation des ressources Cloud et de virtualisation, aujourd hui et demain?

L authentification forte : un must pour tous les utilisateurs

Garantir une meilleure prestation de services et une expérience utilisateur optimale

Est-il possible de réduire les coûts des logiciels pour mainframe en limitant les risques?

Que peut m apporter la gestion des identités et des accès dans le domaine de la conformité PCI?

externalisation sécurisée vers le Cloud : cinq éléments clés à prendre en compte

DOSSIER SOLUTION Amélioration de la planification de la capacité à l aide de la gestion des performances applicatives

Plate-forme Cloud CA AppLogic pour les applications d entreprise

Gestion de projets et de portefeuilles pour l entreprise innovante

Comment mettre en oeuvre une gestion de portefeuille de projets efficace et rentable en 4 semaines?

CA Mainframe Chorus for Security and Compliance Management version 2.0

Utilisation de ClarityTM pour la gestion du portefeuille d applications

«Sicredi améliore la gestion de ses services informatiques grâce à CA Service Assurance»

Fiche Technique. Cisco Security Agent

Dossier Solution - Virtualisation CA arcserve Unified Data Protection

Découvrir les vulnérabilités au sein des applications Web

CA Workload Automation Agent pour implémentation mainframe Systèmes d exploitation, ERP, bases de données, services applicatifs et services Web

Protection pour site web Sucuri d HostPapa

Solutions McAfee pour la sécurité des serveurs

Prise en charge des cinq plus gros défis du service Cloud

UNIFIED. Nouvelle génération d'architecture unifiée pour la protection des données D TA. dans des environnements virtuels et physiques PROTECTION

Amélioration de la sécurité SAP grâce à CA Identity and Access Management

Sécurité sur le web : protégez vos données dans le cloud

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Symantec MessageLabs Web Security.cloud

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Optimisation des niveaux de service dans le cadre de déploiements de Clouds publics

Meilleures pratiques de l authentification:

Symantec Endpoint Protection Fiche technique

UPSTREAM for Linux on System z

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Politique de sécurité de l actif informationnel

Trusteer Pour la prévention de la fraude bancaire en ligne

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

CA Mainframe Application Tuner r8.5

L Agence du revenu du Canada protège l accès au système pour utilisateurs

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

L automatisation des tâches courantes sur une plate-forme évolutive permet-elle une rentabilisation plus rapide?

CHARTE INFORMATIQUE LGL

UNIFIED D TA. architecture nouvelle génération pour une restauration garantie (assured recovery ) que les données soient sur site ou dans le cloud

SOLUTIONS INTELLIGENTES DE PRÉVENTION DES FRAUDES

agility made possible Sumner Blount, Merritt Maxim

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

10 bonnes pratiques de sécurité dans Microsoft SharePoint

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

RSA ADAPTIVE AUTHENTICATION

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

z Fiche d identité produit

Une représentation complète

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

IBM Tivoli Compliance Insight Manager

Atteindre la flexibilité métier grâce au data center agile

HySIO : l infogérance hybride avec le cloud sécurisé

Mail-SeCure sur une plateforme VMware

Pour bien commencer avec le Cloud

Sécurité. Tendance technologique

Les botnets: Le côté obscur de l'informatique dans le cloud

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC)

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Gérez-vous vos serveurs virtuels et physiques en tant que partie intégrante de votre infrastructure sous-jacente?

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

CloudSwitch sécurise les clouds d entreprise

Le nuage : Pourquoi il est logique pour votre entreprise

Gestion des licences électroniques avec Adobe License Manager

Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Les cinq raisons majeures pour déployer SDN (Software-Defined Networks) et NFV (Network Functions Virtualization)

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

Tirez plus vite profit du cloud computing avec IBM

Sécurité informatique: introduction

Cycle de conférences sur Cloud Computinget Virtualisation. Le Cloud et la sécurité Stéphane Duproz Directeur Général, TelecityGroup

Assurer la sécurité des entreprises mobiles Stratégies pour réduire les vulnérabilités et les risques en matière de sécurité

Aperçu technique Projet «Internet à l école» (SAI)

Les services de Cloud Computing s industrialisent, Cloud COmputing : Sommaire

Club des Responsables d Infrastructures et de la Production

Solutions de sécurité des données Websense. Sécurité des données

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

La sécurité informatique à l heure de la 3 ème plate-forme. Karim BAHLOUL Directeur Etudes et Conseil IDC France 20 mai 2014

s é c u r i t é Conférence animée par Christophe Blanchot

VISION : MULTILAYER COLLABORATIVE SECURITY *

La gestion des risques en entreprise de nouvelles dimensions

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

VOLET 4 SECURITY BULLETIN KASPERSKY LAB. Prévisions 2015 (C) 2013 KASPERSKY LAB ZAO

Transcription:

Défense contre les menaces persistantes avancées : stratégies face à une nouvelle forme d attaques agility made possible

Les menaces de sécurité se métamorphosent Les dangers traditionnels auxquels les équipes chargées de la sécurité informatique sont confrontées et qu elles combattent depuis de nombreuses années sont progressivement remplacés par une forme d attaque plus dangereuse et insidieuse encore : la menace persistante avancée (Advanced Persistent Threat). Bien que ces menaces ne constituent encore qu un vecteur de risque émergent, leur impact se fait déjà sentir d une manière substantielle. 1 2 3 Piratage de RSA SecurID Opération Aurora En 2011, une menace persistante avancée a compromis les systèmes contenant les informations relatives aux jetons d authentification à deux facteurs RSA SecurID, y compris les valeurs utilisées par l entreprise pour générer les mots de passe à usage unique.1 Des pirates informatiques ont volé des informations confidentielles de propriété intellectuelle, y compris du code source, de Google, d Adobe et d autres sociétés de premier plan au moyen de techniques hautement sophistiquées et parfaitement orchestrées.2 PCWorld. «RSA SecurID Hack Shows Danger of APTs.» 18 mars 2011. Wired. «Google Hack Attack was Ultra Sophisticated, New Details Show.» 14 janvier 2010. Ponemon Institute. «2011 Cost of Data Breach Study.» 2011 02 L impact financier d une menace persistante avancée ne doit pas être sous-estimé : en moyenne, le coût de la réponse à une menace persistante avancée et de l élimination de ses effets se monte à 5,5 millions de dollars. 3

Définition d une menace persistante avancée Une menace persistante avancée est une attaque à long terme sophistiquée lancée contre une entité particulière. Par définition, il ne s agit pas d une menace «normale» : Avancée : l entité malveillante possède les compétences techniques requises, notamment en codage, pour exploiter les faiblesses de la cible et est capable d identifier et d exploiter des vulnérabilités jusque-là inconnues. Persistante : contrairement aux piratages ponctuels à court terme qui tirent parti des opportunités temporaires, les menaces persistantes avancées se déroulent souvent sur plusieurs années, se servent de multiples vecteurs et cumulent les violations de sécurité au fil du temps pour accéder à un volume de données significatives toujours plus grand. Les personnes à l origine des menaces persistantes avancées sont souvent des entités mandatées par des États et dont les objectifs vont bien au-delà du simple vol, à savoir notamment : Données militaires Sabotage économique Espionnage industriel Extorsion financière Manipulation politique Menace : les personnes, groupes et organisations à l origine des menaces persistantes avancées ont la motivation, la capacité et les ressources nécessaires à leur succès. 03

Principes de fonctionnement d une menace persistante avancée Pratiquement toutes les menaces persistantes avancées sont exécutées suivant quatre phases : Reconnaissance Pénétration initiale Escalade des privilèges Exploitation continue 1 2 3 4 Recherche des faiblesses d une organisation impliquant souvent des requêtes de domaine et l analyse de la vulnérabilité et des ports. Exploitation des expositions identifiées et prise de pied dans le réseau cible à l aide de techniques sophistiquées ou de méthodes d ingénierie sociale, telles que le hameçonnage. À la suite de la pénétration initiale, les pirates informatiques acquièrent des droits supplémentaires et prennent le contrôle d autres systèmes, puis installent une «porte dérobée» qui leur facilite l accès ultérieurement. Une fois le contrôle établi, l assaillant est en mesure d identifier, de compromettre et d exploiter les données confidentielles à son gré. Les troisième et quatrième étapes se déroulant sur plusieurs années, il peut s avérer incroyablement difficile de détecter une menace persistante avancée. 04

La sécurité traditionnelle ne fait pas le poids face à une menace persistante avancée Les menaces ciblées, les méthodes hautement avancées et les moyens dont disposent les criminels motivés signifient que la protection fournie par les mesures standard de sécurité des réseaux et d Internet ne suffit plus. Bien que la sécurisation standard du périmètre et de l infrastructure puisse empêcher ou retarder la pénétration initiale, elle est relativement inefficace une fois que les fraudeurs ont pris pied dans le réseau. C est pourquoi les organisations doivent adopter une stratégie de protection plus proactive et plus complète qui soit capable de détecter les menaces persistantes avancées plus tôt et d empêcher les tentatives d escalade de privilèges ou d exportation de données confidentielles. Pourquoi les règles de sécurité Internet traditionnelles ne s appliquent-elles plus à l heure des menaces persistantes avancées? Les fraudeurs sont des individus patients prêts à attendre que de nouvelles vulnérabilités émergent et capables d associer des techniques apparemment insignifiantes pour monter une attaque préjudiciable de grande envergure. Un ennemi dévoué et mandaté par un État ne se laissera pas dissuader de cibler une organisation uniquement parce que le niveau de sécurité de celle-ci est plus élevé que celui d entreprises similaires. Une menace persistante avancée peut se dérouler de manière délibérée et très mesurée, ce qui lui permet d échapper aux pare-feu et aux systèmes de détection des intrusions les mieux configurés. 05

La défense en profondeur est le seul moyen de stopper les menaces persistantes avancées Les mesures de sécurité du périmètre et de l infrastructure doivent être complétées par une solution de protection efficace contre les menaces persistantes avancées afin que l organisation puisse : La solution? Une défense en profondeur, c est-à-dire une stratégie qui complète les solutions de sécurité traditionnelles et intègre des fonctionnalités de gestion de l accès et des identités telles que : Gestion des comptes partagés Sécurité de la virtualisation Accès aux privilèges minimaux Gestion et gouvernance des identités Enregistrement des sessions Authentification avancée D étecter une activité suspecte suffisamment tôt lors d une tentative d intrusion Renforcement des serveurs Contrôles des données C ollecter les informations dont les enquêteurs ont besoin pour déterminer l étendue des dégâts, et quand et par qui ils ont été causés Sécurité atypique et externalisée E ntraver l accès initial R éduire le risque d escalade des privilèges en cas de compte compromis L imiter les répercussions d un compte compromis 05 06

Une stratégie de défense en profondeur renforce les mesures standard de sécurité du périmètre et des systèmes au moyen d outils de gestion de l accès et des identités dans le but de fournir une protection contre les quatre phases d une menace persistante avancée. Pénétration initiale Reconnaissance Escalade des privilèges Exploitation continue Gestion des comptes partagés Sécurité du périmètre Accès aux privilèges minimaux Renforcement des serveurs Capture et examen des journaux d audit des périphériques et des serveurs Antivirus Enregistrement des sessions Protection contre l hameçonnage Sécurité atypique et externalisée Formation des employés Gestion et gouvernance des identités Sécurité de la virtualisation Authentification avancée Contrôles des données 07

Défense en profondeur : aperçu Gestion des comptes partagés Gestion des comptes partagés Accès aux privilèges minimaux L accès et l exploitation des comptes à forts privilèges est une tactique clé qui se retrouve dans toutes les attaques du type menaces persistantes avancées. C est pourquoi la gestion des comptes partagés doit garantir les fonctions suivantes : Enregistrement des sessions Gérer la complexité des mots de passe et les changements automatiques selon les règles Renforcement des serveurs Sécurité atypique et externalisée Sécurité de la virtualisation Gestion et gouvernance des identités Stocker de façon sécurisée les mots de passe chiffrés Limiter l accès aux comptes administratifs Empêcher le partage des mots passe au moyen de fonctionnalités de connexion automatique Limiter le nombre d utilisateurs ayant accès aux comptes à forts privilèges en fournissant un accès d urgence aux comptes Éliminer l utilisation des mots de passe codés en dur dans les scripts Accès aux privilèges minimaux L accès ne doit pas être traité selon une approche «tout ou rien». En effet, les utilisateurs doivent pouvoir accéder aux données dont ils ont besoin pour effectuer leur travail. Par exemple : Les administrateurs système doivent être autorisés à mettre à jour les logiciels de serveur, à modifier les paramètres de configuration et à installer de nouveaux logiciels, mais pas à modifier les paramètres de sécurité ni à consulter les journaux. Authentification avancée Les administrateurs de sécurité doivent être en mesure d actualiser et de modifier le paramétrage et les configurations et de consulter les fichiers journaux, mais ne doivent pas être autorisés à installer des logiciels ni à accéder aux informations confidentielles. Contrôles des données Les auditeurs doivent pouvoir vérifier les paramètres de sécurité et consulter les fichiers journaux, mais ne doivent pas être autorisés à modifier un système de quelque manière que ce soit. 08

Défense en profondeur : aperçu suite Gestion des comptes partagés Enregistrement des sessions Accès aux privilèges minimaux Le suivi des actions réalisées par les comptes à forts privilèges est une étape essentielle de la détection des menaces persistantes avancées. À cette fin, l enregistrement des sessions doit : Enregistrement des sessions Renforcement des serveurs Sécurité atypique et externalisée Sécurité de la virtualisation Représenter visuellement «qui a fait quoi» Fournir des outils analytiques qui permettent d accélérer les enquêtes sur les violations en éliminant la nécessité de consulter les fichiers journaux et de passer en revue des gigaoctets de texte difficile à lire Indiquer l heure, la date, l IP source et l ID utilisateur de toutes les connexions Consigner toutes les commandes entrées par les utilisateurs Associer tout comportement anormal à l utilisateur qui en est l auteur Renforcement des serveurs Tous les serveurs sur lesquels sont hébergées des informations confidentielles doivent être configurés dans une perspective de protection contre les menaces persistantes avancées. Il faut donc notamment : Utiliser un pare-feu pour contrôler les communications, limiter les paquets et bloquer les protocoles non sécurisés Gestion et gouvernance des identités Avoir recours aux listes blanches d applications afin de n autoriser que les exécutions et installations spécifiées explicitement Authentification avancée Interdire toute modification des fichiers journaux Contrôles des données Contrôler l accès aux fichiers répertoires Définir un ensemble spécifique d actions pour les applications à haut risque Contrôler l intégrité des fichiers clés 09

Défense en profondeur : aperçu suite Gestion des comptes partagés Sécurité atypique et externalisée Accès aux privilèges minimaux Les personnes à l origine des menaces persistantes avancées utilisent souvent des commandes de systèmes d exploitation, des fonctions et des utilitaires courants à leur avantage. Ces techniques peuvent en fait directement contribuer à la défense contre ces menaces en : Enregistrement des sessions Utilisant des outils externes pour contrôler et protéger les fichiers afin qu ils apparaissent comme étant non sécurisés, alors qu en réalité, ils aident les administrateurs à détecter les tentatives d attaque visant à compromettre le réseau Renforcement des serveurs Modifiant le nom des commandes système courantes afin que l utilisation du nom original déclenche une alerte Sécurité atypique et externalisée Sécurité de la virtualisation Gestion et gouvernance des identités Authentification avancée Contrôles des données Sécurité de la virtualisation Le nombre de systèmes virtualisés a littéralement explosé, faisant de ces environnements, et en particulier de l hyperviseur, les cibles privilégiées des menaces persistantes avancées. Pour protéger les infrastructures virtuelles, les organisations doivent : Appliquer le principe du privilège minimal aux comptes hyperviseur Contrôler et consigner toutes les actions effectuées au niveau de la couche hyperviseur Sécuriser les machines virtuelles en exploitant les fonctionnalités d automatisation tenant compte de la virtualisation Gestion et gouvernance des identités La protection adéquate des identités des utilisateurs est une étape essentielle de la réduction de l efficacité des menaces persistantes avancées. À cet effet, la fonctionnalité de gouvernance et de gestion des identités permet de : Déprovisionner les identités et supprimer les autorisations dont elles bénéficient aussitôt qu une personne quitte l entreprise Trouver et supprimer les identités orphelines ou non utilisées 10

Défense en profondeur : aperçu suite Gestion des comptes partagés Accès aux privilèges minimaux Enregistrement des sessions Renforcement des serveurs Authentification avancée L authentification à deux facteurs et les évaluations basées sur les risques contribuent à la protection contre l accès initial d une menace persistante avancée en refusant ou détectant les tentatives d accès inapproprié. Pour être aussi efficaces que possible, les fonctionnalités d authentification avancée doivent intégrer : Des informations d identification logicielles à deux facteurs spécifiques à chaque périphérique Des méthodes d authentification polyvalentes qu il est possible de faire correspondre à un scénario spécifique Des règles modifiables en fonction de la protection requise face aux différentes tactiques de menace persistante avancée Sécurité atypique et externalisée L identification des périphériques, la géolocalisation, les listes noires d adresses IP et la gestion des cas pour les activités suspectes Sécurité de la virtualisation Contrôles des données La possibilité de renforcer l authentification lorsqu une assurance plus forte des identités est requise Gestion et gouvernance des identités Étant donné que le but ultime de toute menace persistante avancée est le vol d informations confidentielles, la mise en place de contrôles stricts pour ces données est un élément essentiel du succès de toute défense. La préservation de ces actifs passe avant tout par : Authentification avancée La classification des données selon leur niveau de confidentialité et leur type, pour l accès, l utilisation, le transfert, le stockage, etc. Contrôles des données Le contrôle des données lors de leur transfert entre sources, notamment entre la messagerie électronique et les disques physiques 11

Réduction des risques de sécurité grâce à une approche holistique Le concept de défense en profondeur est un élément essentiel de toute stratégie de protection proactive et holistique contre les menaces persistantes avancées. Les techniques qui sous-tendent cette approche fonctionnent de concert pour vous permettre de développer et d appliquer un modèle de sécurité basé sur l autorisation ou le refus des actions selon les règles métier, le niveau de confidentialité des données et les types particuliers de comportement. Parce qu il peut être appliqué uniformément sur l ensemble des plates-formes et isolé du système d exploitation, ce modèle fournit un moyen efficace de prévenir et de détecter les menaces persistantes avancées. Ainsi, la défense en profondeur aide votre organisation à conserver une longueur d avance sur les menaces persistantes avancées et à réduire les effets que les attaques de ce type peuvent avoir sur l activité, les employés, les clients et les partenaires. 12

À propos des solutions de CA Technologies Les solutions de sécurité de CA Technologies intègrent une suite complète de fonctionnalités permettant de simplifier les opérations et de réduire le coût total de la gestion dans les environnements Cloud, sur site, virtuels, physiques, distribués et mainframe, et vous aident ainsi à considérablement améliorer l agilité métier. Contrairement aux solutions traditionnelles, la suite CA Technologies contrôle non seulement les identités des utilisateurs et la disponibilité des ressources informatiques critiques, mais aussi l accès aux données à caractère confidentiel. Ainsi, elle fournit des couches de sécurité supplémentaires par rapport aux solutions conventionnelles et permet de diminuer le risque de violations, de réduire au minimum la perte de données et de simplifier les audits de conformité. Ces offres sont complétées par une gamme de services Cloud d identités qui vous donnent la possibilité de déployer des services de sécurité comme et quand vous le souhaitez, et ainsi d adopter des modèles Cloud ou hybrides adaptés à vos besoins. La suite CA Identity and Access Management couvre les domaines suivants : Gestion et gouvernance des identités Gestion des identités à forts privilèges et sécurité de la virtualisation Authentification avancée Protection des données Sécurité du Cloud Authentification unique sécurisée et gestion de l accès 13

CA Technologies (NASDAQ : CA) est un éditeur de logiciels et de solutions intégrées de gestion des systèmes d information, dont l expertise couvre tous les environnements informatiques, du mainframe au Cloud Computing et des systèmes distribués aux infrastructures virtuelles. CA Technologies gère et sécurise les environnements informatiques et permet à ses clients de fournir des services informatiques plus flexibles. Grâce aux produits et aux services innovants de CA Technologies, les organisations informatiques disposent de la connaissance et des contrôles nécessaires pour renforcer l agilité métier. La majorité des sociétés du classement «Fortune 500» s appuient sur CA Technologies pour gérer leurs écosystèmes IT en constante évolution. Pour plus d informations, suivez l actualité de CA Technologies sur ca.com. Copyright 2013 CA. Tous droits réservés. Tous les noms et marques déposées, dénominations commerciales, ainsi que tous les logos référencés dans le présent document demeurent la propriété de leurs détenteurs respectifs. Ce document est uniquement fourni à titre d information. CA décline toute responsabilité quant à l exactitude ou l exhaustivité des informations qu il contient. Dans les limites permises par la loi applicable, CA fournit le présent document «tel quel», sans garantie d aucune sorte, expresse ou tacite, notamment concernant la qualité marchande, l adéquation à un besoin particulier ou l absence de contrefaçon. En aucun cas, CA ne pourra être tenu pour responsable en cas de perte ou de dommage, direct ou indirect, résultant de l utilisation de ce document, notamment la perte de profits, l interruption de l activité professionnelle, la perte de clientèle ou la perte de données, et ce même dans l hypothèse où CA aurait été expressément informé de la survenance possible de tels dommages.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back